12800交換機NGFW安全插板技術白皮書

CENGFW技術白皮書CECE交換機NGFWPAGE10PAGE10目錄概述 6網絡威脅變化及一代防墻產生 6下一代防墻的定義 6防火墻插的使用南 7下一代防墻插板技術原則 8防火墻的能模型 8網絡隔離 9訪問控制 10基于流的態(tài)檢測術 10基于用戶管控能力 10基于應用管控能力 應用層的脅防護 業(yè)務支撐力 地址轉換力 12攻擊防范力 12業(yè)務 13防火墻的志系統(tǒng) 13CE交換機防墻插板術特點 14靈活的安區(qū)域管理 14基于安全域的隔離 14可管理的全區(qū)域 14基于安全域的策控制 14豐富的業(yè)支撐 15安全策略制 15靈活的規(guī)設定 15基于時間的規(guī)則理 16高速策略配 16MAC地址和IP地址綁定 17動態(tài)策略理－黑單技術 17基于流會的狀態(tài)測技術 17基于會話理的核技術 17深度檢測 18狀態(tài)檢測術的優(yōu)勢 19ACTUAL感知 19ACTUAL概念 20Application/應用感知原理 20Content/內容感知原理 22時間感知原理 22User/用戶感知原理 22Attack/攻擊感知原理 25Location/位置感知原理 26一體化策略 27先進的虛防火墻術 27業(yè)務支撐力 29對多通道議支持善的安保護 29針對各種務的數流管理 29業(yè)務支持完整性 29支持完善多媒體務 30網絡地址換 30優(yōu)異的地轉換性能 30靈活的地轉換管理 30強大的內服務器持 31服務器負分擔 32強大的業(yè)支撐 33無數目限的方式轉換 33支持多接負載分擔 34豐富的攻防御的段 34優(yōu)秀的Dos防御能的必要件 34豐富的Dos防御手段 35高級的代理防御體系 35掃描窺探 36畸形報文擊 36應用層36完善的功能 37GRE37L2TP38IPSEC38BGP/MPLSVPN 39DSVPN 40SSLVPN 41應用層安全 41業(yè)務感知(SA) 41入侵防御統(tǒng)(IPS) 42反病毒43內容過濾 44HTTPS流量防護 45完善的日報表系統(tǒng) 45日志服務器 46兩種日志出方式 46多種日志息 46典型組網 49FW插板三組網 49FW插板二組網 51CENGFW技術白皮書關鍵詞：NGFW、CE交換機插板、網絡安全、VPN、隧道技術、L2TP、IPSec、IKE摘要：CE名稱縮寫完整拼寫中文解釋NGFWNextGenerationFirewall下一代防火墻VPNVirtualPrivateNetwork虛擬私有網AAAAuthentication,Authorization,Accounting驗證，授權，計費ASPFApplicationSpecificPacketFilter基于應用層規(guī)范的包過濾DoSDenialofService拒絕服務，一種常見的網絡攻擊手段L2TPLayer2tunnleprotocal二層隧道協(xié)議IPSECIPSecurityIP安全IKEInternetKeyExchangeInternet密鑰交換概述用架構全威脅將焦點集中在誘使用戶安裝可逃避安全設備及軟件檢測的有針對性的惡意執(zhí)行程序上。護。面對越來越多的應用使用少量的端口，或者一些應用使用非標準端口，基于端口/協(xié)議下一代防火墻的定義GartnerGartnerIT的方式NGFW至少具有以下屬性：“bump-in-the-wire”等等。集成的而非僅僅共處一個位置的網絡入侵檢測：支持面向安全漏洞的特征碼和面向NGFW引擎和特征碼，是NGFW的一個主要特征。Skype中的文件共享或始終阻止。額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止防火墻插板的使用指南防火墻插板放在整個網絡中的匯聚點，如果被保護網絡的通信流量有可能會繞過防火能力，避免引入防火墻插板導致對正常業(yè)務造成影響。下一代防火墻插板的技術原則防火墻的性能模型作能力。除了吞吐量之外，在衡量防火墻性能的時候一定還要考察下面幾個指標：1、小包轉發(fā)能力防火墻的吞吐量在業(yè)界一般都是使用1K～1.5K的大包衡量防火墻對報文的處理能力2002、規(guī)則數目對轉發(fā)效率的影響3、每秒建立連接速度DOS攻擊4、并發(fā)連接數目的訪問。5、延時標。網絡隔離整個防火墻的網絡隔離體系是否具有清晰的邏輯結構，使得防火墻可以適應不同的場合。例如，防火墻至少應該具有單獨的DMZ區(qū)域。VPN、VLANVPN、訪問控制基于流的狀態(tài)檢測技術IP基于用戶的管控能力下一代防火墻，不僅能夠根據IP地址進行安全策略控制。需要能夠根據用戶身份進行安全策略控制。防火墻應該能夠監(jiān)控用戶的上下線動作，并根據用戶/用戶組進行用戶權限的控制、帶寬分配等?；趹玫墓芸啬芰Γ☉脤拥耐{防護業(yè)務支撐能力引入防火墻插板到網絡的時候導致某些業(yè)務受到影響。為了滿足網絡的業(yè)務擴展能力的提H.323、、H.323、、QoS（）地址轉換能力的發(fā)展，IP使（NetworkAddressInternet（rWWW、、、SMTP、POP3（N（）兩種形式。攻擊防范能力Dos（）DosDos攻擊。DosDosDosDosDosDosDosVPN業(yè)務連接服務。IPVPNIPSEC/L2TP/GRE等。IP通過防火墻一般可以提供如下一些VPN服務：VPN服務；VPNVPN協(xié)議是L2TPVPN服務；VPNGRE、、等；各種VPNVPN防火墻的日志系統(tǒng)CECE交換機NGFWPAGE14PAGE14交換機防火墻插板技術特點靈活的安全區(qū)域管理基于安全區(qū)域的隔離華為要求。華為可管理的安全區(qū)域（utunut華為untrustDMZ、ftp華為NGFW防火墻插板還提供自定義安全區(qū)域，每個安全區(qū)域都可以加入獨立的接口?；诎踩珔^(qū)域的策略控制華為方便用戶對各種邏輯安全區(qū)域的獨立管理。trust到untrust、從DMZ到untrust豐富的業(yè)務支撐LoopBack以支持所有業(yè)務類型。通過華為VLAN同時華為策略。華為得華為安全策略控制靈活的規(guī)則設定華為種規(guī)則。針對和針對何一種報文；可以針對報文中的/基于時間段的規(guī)則管理華為MSN、所有基于QoSACLQoS高速策略匹配的效率。華為保證了華為進行上萬條ACLMAC地址和IP地址綁定華為IPIPIPMACIP動態(tài)策略管理－黑名單技術華為NGFW防火墻插板可以將某些可疑報文的源IP地址記錄在黑名單列表中，系統(tǒng)通過丟棄黑名單用戶的所有報文，從而有效避免某些惡意主機的攻擊行為。華為NGFW防火墻插板提供如下幾種黑名單列表維護方式：戶上網；基于流會話的狀態(tài)檢測技術基于會話管理的核心技術華為基于會話管理的核心技術。華為元和會話管理單元，兩個單元分別依靠獨立的加速系統(tǒng)進行管理。這樣處理的明顯優(yōu)勢是：NGFW或者NGFW、HTTPQoS深度檢測華為ASPF技術，ASPFFTPSMTPHTTP、ActiveXASPFASPF/連接，ASPFP于非完整的TCP握手連接的報文會直接拒絕。狀態(tài)檢測技術的優(yōu)勢ACLIPFTPFTPASPFIPASPF使得華為SMTP（、SIP）FTPnetmeetingASPF當報文通過防火墻時，ASPF感知NGFW感知技術，ACTUAL概念ACTUALApplication/Time/User/用戶、Attack/的感知結果配置對應的安全策略，如過濾、路由選路、流控、轉換等策略。111001001010110100101011ApplicationContent云業(yè)務內容威脅TimeUserAttackLocation Apps移動用戶應用固定用戶101011000101010000111110OA業(yè)務網絡環(huán)境 ACTUAL感知體系

業(yè)務環(huán)境NGFWACTUAL供了條件。Application/應用感知原理SA/應用感知模塊負責對未知網絡流量進行識別，SA模塊識別報文形態(tài)、根據報文提取的特征字、報文負荷長度、報文內容/長度變化規(guī)律、IP地址/端口等內容，并可結合統(tǒng)計和報文間關聯(lián)關系等，從而對網絡流量進行精確應用分類。NGFWSA6000SA華為HTTP是阻止Web確控制。華為NGFW防火墻插板支持基于應用的流量管控，如限制P2P流量的帶寬，保證內部應用的帶寬?；趹玫牧髁抗芸?，可以對流量進行更加細粒度的分類，實現(xiàn)精確控制。華為的運行。華為P2PContent/內容感知原理NGFWContent/內容感知能力。Content/Time/時間感知原理Time/時間感知的原理比較簡單，主要通過如下技術來獲得：NTP是網絡時間協(xié)議，NGFW通過NTP協(xié)議來獲取網絡標準時間，調整本地時鐘與標準時鐘的誤差。一些國家或地區(qū)存在夏令時制度，NGFW使用VRP通用路由平臺，配置對應夏令時的時鐘設置，可以在每年夏令時鐘切換時設備時鐘自動切換。（段NGFW（（）（）User/用戶感知原理IPIP出用戶，并有效的對用戶行為進行管控，已成為現(xiàn)階段網絡安全的重中之重。NGFWUser/免認證IPMAC地址登錄。IP密碼認證對于普通的公司員工，一般采用密碼認證，認證形式方便快捷。首先員工無需直接使用WEB瀏覽器訪問認證頁面URL即可進行認證?？梢酝ㄟ^HTTP或HTTPS兩種協(xié)議認證，若用戶要求認證過程的高安全性，可以選擇HTTPS方式認證。LDAP，Radius，AD同時，員工通過WEB瀏覽器使用HTTP協(xié)議經設備訪問業(yè)務時，設備若發(fā)現(xiàn)該用戶還沒有認證，則自動將頁面重定向到設備認證頁面，觸發(fā)用戶進行認證。單點登錄如果當前網絡中已經部署了AD服務器身份認證系統(tǒng)，則設備可以通過單點登錄功能，通過設備與AD服務器聯(lián)動，識別出已向AD服務器認證通過的用戶，避免用戶上網時再次要求輸入用戶名/密碼，作為設備對用戶的認證過程透明。如果用戶訪問網絡已經是通過N2PSLVNGW事前認證是用戶在訪問網絡資源前，實現(xiàn)通過登錄NGFW的用戶認證Portal頁面，進行認證的一種認證方式。事前認證支持所有的上網方式。NGFW類型的網絡訪問。策略管控：QQ，MSNIM提供基于用戶的分類分時流量排名等報表。的策略。Attack/攻擊感知原理NGFWNGFWDOS/DDOSNGFWDDOS（如等（（Flood攻擊、CC）Netstream入侵防御因特網上的僵尸網絡、木馬、蠕蟲、SQLin-lineNGFWNGFW0day病毒防御NGFW的AV病毒防御功能，可以對網絡上病毒文件的傳輸做到檢測和阻斷防御的能力，具體檢測技術包括流重組、文件重組、脫殼解壓、PE病毒檢測、基于流的啟發(fā)式檢測技術，并且同IPS一樣，提供引擎升級和病毒庫的在線升級能力。NGFWRBL實時檢測技術，以及對惡意檢測NGFW（NGFWNGFWLocation/位置感知原理NGFWLocation/IPNGFWNGFW使用Location/位置感知技術，可以完成如下功能：NGFWNGFWNGFWNGFW一體化策略在一條策略規(guī)則中，可以關聯(lián)IPS、AV、DLP等應用層處理Profile。先進的虛擬防火墻技術加，傳統(tǒng)的管理運營模式已經不能適應其業(yè)務的發(fā)展。企業(yè)信息化成為解決目前業(yè)務發(fā)展的關鍵，得到了各企業(yè)和機構的相當重視。隨著企業(yè)業(yè)務規(guī)模的不斷增大，各業(yè)務部門的職能和權責劃分也越來越清晰。各業(yè)務部門也初步形成了的相應不同安全級別的安全區(qū)域，比如，OAVPNVPN 成本較高 的復雜度 VPN 復雜度為了適應這種業(yè)務模式。虛擬防火墻技術應運而生。虛擬防火墻通過在一塊物理插VPN用這種邏輯防火墻的部署的靈活性來來實現(xiàn)企業(yè)網絡的對新業(yè)務的適應性。當用戶業(yè)務劃分發(fā)生變化或者產生新的業(yè)務部門時，可以通過添加或者減少防火墻實例的方式十分每個虛擬防火墻可以獨立配置資源，避免不同的虛擬防火墻在運行的過程中互相影響。虛擬防火墻可以獨立分配的資源規(guī)格可以分為兩類：一類是配置資源；一類是運行策略數；運行時資源是虛擬防火墻運行時的業(yè)務規(guī)格，包括：會話規(guī)格、在線用戶數、帶寬。業(yè)務支撐能力對多通道協(xié)議支持完善的安全保護華為“動態(tài)實時策略修改”使得華為針對各種業(yè)務的數據流管理華為FTPFTPtelnetFTPACLFTPQOS華為telnetFTP因為對業(yè)務數據流的精確識別，華為NGFW防火墻插板在優(yōu)化網絡資源配備方面具有很強的優(yōu)勢。業(yè)務支持的完整性華為華為H.323H.323H.323的各種組網模型，支持MCU、GK、視頻終端、音頻終端等等。華為支持完善的多媒體業(yè)務華為RASMGCPSIPMMS可以使得華為華為防火VOIP網絡地址轉換優(yōu)異的地址轉換性能華為Session靈活的地址轉換管理華為4、untrust、DMZlocaluntrustInternet的，trustFTPIPIP地址，DMZ->untrusttrust->untrust同時華為ACL強大的內部服務器支持IP例如有一個內部局域網的主機IP地址是/24，而該局域網利用專線連接到InternetISPIP地址：服務器，IP地址為，配置一個靜態(tài)的映射，將地址和地址WEB訪問到主機InternetIPIPInternet（DNSFTP。靜態(tài)綁定方式存在如下弱點：1IPIPIP2、存在比較大的安全隱患，一般對外提供的服務器都是單一用途，例如WEB服務器就Http80WEB80上了。3、提供不是標準端口的服務器存在困難。例如用戶想提供2個WEB服務器，其中一個WEB80華為子使用華為WEBFTP:8080提供第二WEBInternet。華為個內服務器負載分擔強大的業(yè)務支撐ICMPICMPNetMeetingPPTPL2TPDNSNetBIOS、SIPMGCP、QQMSNInternetALG另外華為無數目限制的PAT方式轉換華為AddressIP1～1024IP個并發(fā)連接。但是華為IP方式IP地址。支持多接口負載分擔華為WnntISPInternet，華為豐富的攻擊防御的手段優(yōu)秀的Dos防御能力的必要條件InternetDOSDos（Denyservice）DosIPPCDosDosInternet上DosDosDos攻擊導DosDosDosDosDosDosDos網絡癱瘓，網絡上的關鍵設備點發(fā)生了阻塞，則Dos攻擊的目的就達到了。這里同DosDosDosDos華為NGFWDos豐富的Dos防御手段華為DosICMPFloodFloodUDPFloodDNSDosDosDos形式的攻擊，華為Dos針對不同的攻擊特點，華為NGFW防火墻插板采用了一些不同的防御技術，這樣保證防火墻在抵御Dos攻擊的時候更有針對性，使得整個防火墻的抵御特性更加完整。華為高級的TCP代理防御體系華為SYNFloodDosDos掃描窺探pingICMPUCP華為IPIPtracert畸形報文攻擊華為防火墻插板可以提供針對各種畸形報文的防范，主要包括Land攻擊、Smurf攻擊、FraggleWinNukeICMP（ACK、、FIN等）PingDeathDrop應用層DDoS華為DDoSIPDDoSHTTPFloodHTTPSFlood、DNS-RequestFlood、DNS-ReplyFloodDDoSDDoS華為DDoSDDoSDDoSIP完善的功能華為(DES3DESAHESP)Security）安全機制，為通訊雙方提供訪問控制、無連接完整性、數據來源認證、反重放、AAuhnicaindr和EEcaplatgSecurityIP華為IPSecVPN（VirtualPrivateNetwork）L2TP（Layer2Protocol）和GRE（GenericRoutingEncapsulation）構建多種VPN應用：L2TPVPNIPSECVPNGREVPNSSLL2TPoverIPSecVPNGREoverIPSecVPNGREVPNGRE：通用路由封裝技術，在IP數據包的外面再加上一個IP頭。通俗的說，就是把私有數據進行一下偽裝，加上一個“外套”，傳送到其他地方，GRE是VPN（VirtualPrivateNetwork）的第三層隧道協(xié)議，即在協(xié)議層之間采用了一種被稱之為Tunnel（隧道）的技術。華為GREVPNGREIPSec應用。L2TPVPN華為L2TP:Layer2Protocol,是為PPP的最常用的隧道協(xié)議。其中二層隧道的含義指的是：在隧道中間封裝的是二層數據報文（對L2TPPPP報文。華為LNSL2TPCLIENTLNSIP華為LACInternet的時LAC設備發(fā)起L2TPPPP的方式接入到Internet，PPPOELACL2TPLNSL2TPLNSLNSIPSECVPN華為無連接完整性、數據來源認證、反重放、加密以及對數據流分類加密等服務。通過AH（AuthenticationESP（EncapsulatingSecurity現(xiàn)對IP數據報或上層協(xié)議的保護，支持隧道封裝模式。IPSec提供以下幾種網絡安全服務：私有性－.完整性－IPSec有被修改；真實性－端要驗證所有受防重放－IPSec華為防火墻插板可以采用IPSECVPNVPNVPNIPSec（acslit，cIPSecIKEIPSECPKI（PublicInfrastructure）IKEIKEBGP/MPLSVPNBPMLSPNLPLar3ViralPieNkGBdrLabelSwitch）VPNIPIPMPLSIPMPLS在無IPIPMPLSIPVPN（MPLSVPN）IPBGPIGPIGP發(fā)現(xiàn)和計VPNVPNPE佳的路由。BP使用P（EudemonPEVPN路由。BGP可以承載附加在路由后的任何信息，作為可選的BGP屬性，任何不了解這些屬性的Eudemon都將透明的轉發(fā)它們。這為在PE間傳播VPN路由提供了便利。BPEGPNDSVPNDSVPNDynamicSmartVPNHub-Spoke傳統(tǒng)的Hub-SpokeIPSecHubDSVPNSSLVPN安全套接字層(SSL)VPNSSLVPNSSL/TLS的現(xiàn)實優(yōu)勢，VPN。SSL協(xié)議從以下方面確保了數據通信的安全：認證－在建立證。改。華為SSLWebSSLVPNSSLWEB應用層安全業(yè)務感知(SA)華為NGFW防火墻插板的業(yè)務感知(SA)，通過對報文的載荷進行深度分析，識別流量的真實應用類型。具有如下特征：華為NGFWSA不但能夠識別常用的協(xié)議如等，還可以識別承載于常用協(xié)議之上的其它應用，如facebook、等。華為NGFWSA華為提供的預定義規(guī)則庫，可以識別5000+的常見協(xié)議和應用，滿足大部分用戶的應用識別需求。NGFWSA入侵防御系統(tǒng)(IPS)華為NGFWSQLXSS部署方式防護動作，除部分Qos、TTLSQLXSS檢測需求。的防護。反病毒(AV)華為NGFWPC損害。華為NGFW防火墻插板的AV特性，有以下功能：支持豐富的應用層協(xié)議解析功能，分析其中的文件傳輸動作，對傳輸的文件進行病毒掃描。支持流模式檢測支持流模式的AV檢測功能，防護性能高。檢測。內容過濾華為NGFWNGFWNGFWNGFWNGFW支持內容的歸一化處理，防止采用一些編碼技術逃避檢測。HTTPS流量防護華為NGFW防火墻插